Narzędzie rosyjskich hakerów. Tak włamują się do iPhone'ów

Badacze Google, iVerify i Lookout poinformowali o wykryciu DarkSword: techniki, która ma pozwalać na natychmiastowe i dyskretne przejęcie iPhone'a po odwiedzeniu zainfekowanej witryny. Działa ona na urządzeniach opartych na iOS do wersji 18, czyli ostatniej, która nie zaimplementowała zmiany w wyglądzie, jaką jest Liquid Glass.

Według danych Apple sprzed miesiąca iOS 18 miał wciąż działać na blisko jednej czwartej iPhone'ów. Ci użytkownicy mogą narazić się w ten sposób na ryzyko utraty zdjęć i haseł ze swoich telefonów, także tych z popularnych aplikacji jak iMessage czy WhatsApp. Badacze udowodnili, że DarkSword może też gromadzić informacje z usługi Apple Health.

Z ustaleń wynika, że DarkSword widziano na komponentach kodu implementowanych do pozornie legalnych ukraińskich serwisów, w tym portali informacyjnych i strony agencji rządowej, co miało służyć pozyskiwaniu danych z telefonów odwiedzających. To podobny scenariusz jak w przypadku zagrożenia Coruna, wykrytego przez badaczy zaledwie kilka tygodni temu i także dotyczącego smartfonów z iOS.

Google wskazuje też wcześniejsze przypadki użycia narzędzia wobec ofiar w Arabii Saudyjskiej, Turcji i Malezji, a przy celach w Turcji i Malezji pojawia się wątek klientów firmy PARS Defense.

Ogromna liczba użytkowników iOS może mieć skradzione wszystkie dane osobiste tylko dlatego, że odwiedzi popularną stronę internetową - mówi Rocky Cole, współzałożyciel i dyrektor generalny iVerify. - Setki milionów osób, które nadal korzystają ze starszych urządzeń Apple lub starszych wersji systemu operacyjnego, pozostają podatne - dodaje.

DarkSword jest rozwiązaniem, które może przejść niezauważone przez zabezpieczenia systemu ze względu na dość lekki charakter podobny do złośliwego oprogramowania używanego głównie na komputerach z Windowsem. Zagrożenie wchodzi w rolę nadzorcy procesów systemowych i to z nich gromadzi dane. Oznacza to, że rozwiązanie jest efektywne przez krótką chwilę i wyłączenie urządzenia może oznaczać jego eliminację.

W przeciwieństwie do Coruny, większość przypadków zarejestrowanych ataków z użyciem DarkSword odnotowano na iOS 18. Rozwiązanie oferuje dwa systemy wejścia do telefonów, przygotowane pod starszą i nowszą wersję iOS 18. Rozwiązaniem problemu jest zatem aktualizacja swojego smartfonu do najnowszej wersji oprogramowania Apple.

Nie jest jasne, kto odpowiada za stworzenie DarkSword, jednak jego elementy i powiązania wskazują na podobną ścieżkę co w przypadku zagrożenia Coruna. Komentarze napisane w języku angielskim sugerują, że na czarnym rynku oprogramowanie mogło być odsprzedane rosyjskim hakerom, a nie przez nich stworzone.

TechCrunch dotarł do informacji, że Corunę stworzył Trenchant, filia L3Harris, czyli firmy tworzącej na zlecenie rządu Stanów Zjednoczonych oprogramowanie do łamania zabezpieczeń. Były pracownik Trenchant, Peter Williams, przyznał się do sprzedaży narzędzi firmy rosyjskiemu brokerowi Operatrion Zero, który przez rząd USA został objęty sankcjami. Ten sam los może dotyczyć DarkSword, którego fragmenty są porozrzucane po różnych fragmentach sieci, a dokumentacja - dość szczegółowa.